Integration of Governance, Risk Management, and Compliance Management into Business Process Management

(1)

Masterarbeit

Frau M.A.

Hanna Sintermann

Integration von Governance,

Risikomanagement und

Com-pliance Management in das

Geschäftsprozessmanage-ment

(2)

(3)

Institut für Technologie- und Wissenstransfer

Mittweida (ITWM)

Masterarbeit

Integration von Governance,

Risikomanagement und

Com-pliance Management in das

Geschäftsprozessmanage-ment

Autor:

Frau M.A.

Hanna Sintermann

Studiengang:

Master Prozess- und Projektmanagement

Erstprüfer:

Erich Dräger

Zweitprüfer:

Prof. Dr. Steffen Rößler

Einreichung:

München, 15. Dezember 2015

Verteidigung/Bewertung:

München, 2016

(4)

Insitute for technology and knowledge transfer

Mittweida (ITWM)

MASTERTHESIS

Integration of Governance,

Risk Management , and

Com-pliance Management into

Bu-siness Process Management

author:

Ms. M.A.

Hanna Sintermann

course of studies:

master project- and processmanagement

first examiner:

Erich Dräger

second examiner:

Prof. Dr. Steffen Rößler

submission:

Munich,15. December 2015

defence/ evaluation:

Munich, 2016

(5)

Bibliografische Beschreibung:

Sintermann, Hanna:

Integration von Governance, Risikomanagement und Compliance Management

in das Geschäftsprozessmanagement. - 2015. - VI, 64, 2 S.

Mittweida, Hochschule Mittweida, Institut für Technologie- und Wissenstransfer

Mittweida (ITWM), Masterarbeit, 2015

Referat:

Durch Globalisierung, den immer schneller voranschreitenden

Produktinnovatio-nen und Käufermärkten sind Unternehmen mit einer hohen Marktdynamik

kon-frontiert. Zudem sind die GRC-Disziplinen gegenwärtig von großer Bedeutung

für eine Vielzahl von Unternehmen. Eine kontinuierlich wachsende Zahl von

Ge-setzen, Regularien und Standards zwingt die Mehrheit der Unternehmen sich

verstärkt mit diesen Anforderungen auseinanderzusetzen. GRC-Management in

die Geschäftsprozessen zu integrieren, kann zur Erreichung der

Unternehmens-ziele und dem nachhaltigen Unternehmenserfolg beitragen.

Die vorliegende Arbeit befasst sich mit der Integration von GRC-Management in

das Geschäftsprozessmanagement. Das Hauptziel besteht darin, ein

Vorge-hensmodell zur integrierten Implementierung von Prozessen mit den

GRC-Disziplinen zu entwerfen, um damit aktuelle Anwendungsdefizite im Vorgehen

zur Einführung von GRC- und Geschäftsprozessmanagement zu adressieren

und Unternehmen zu einem Wettbewerbsvorteil zu verhelfen. Dazu werden die

Grundlagen des GRC- und des Prozessmanagement analysiert und aus

ausge-wählten Vorgehensmodellen zur Einführung von GPM und GRC-Management

Kenntnisse für das zu erstellende integrierte Vorgehensmodell im Bereich des

Geschäftsprozessmanagement abgleitet.

(6)

(7)

Inhalt I

Inhalt

Inhalt I Abbildungsverzeichnis ... IV Tabellenverzeichnis ... V Abkürzungsverzeichnis ... VI

1 Motivation, Zielsetzung und Aufbau ... 1

1.1 Problemstellung und Motivation ... 2

1.2 Zielsetzung und Forschungsfragen ... 3

1.3 Aufbau der Arbeit ... 4

2 Grundlagen Prozessmanagement ... 6 2.1 Definitionen ... 7 2.1.1 Prozesse ... 7 2.1.2 Prozessverantwortliche ... 8 2.1.3 Prozesslandkarte ... 8 2.1.4 Prozessmanagement ... 9 2.2 Prozessorientierte Organisationen ... 11

3 Grundlagen Governance, Risiko, Compliance ... 13

3.1 Governance ... 13

3.1.1 Governance und Prozessmanagement ... 15

3.2 Risikomanagement ... 16

3.2.1 Risiken ... 16

3.2.2 Gesetzliche Grundlage und Definition Risikomanagement ... 17

3.2.3 Risikomanagement und Prozessmanagement ... 18

3.3 Compliance ... 19

3.3.1 Compliance-Management-System ... 21

3.3.2 Compliance und Prozessmanagement ... 23

3.4 GRC-Management ... 24

3.4.1 Definition ... 26

3.4.2 Vorteile des integrierten GRC-Managments ... 27

(8)

II Inhalt

4 Vorgehensmodell zur Integration von GRC in das

Geschäftsprozessmanagement ... 29

4.1 Vorgehensmodell GPM nach NOVACESS ... 30

4.1.1 Strategie ... 31 4.1.2 Planung ... 32 4.1.3 Erfassung ... 32 4.1.4 Analyse ... 32 4.1.5 Konzept ... 33 4.1.6 Implementierung ... 33 4.1.7 Rollen ... 34

4.1.8 Werkzeuge und Methoden ... 34

4.2 Vorgehensmodell Einführung GRC-Management ... 35

4.2.1 Analysephase ... 36

4.2.2 Designphase ... 36

4.2.3 Gestaltungsphase ... 37

4.2.4 Umsetzung und Kontinuität ... 37

4.2.5 Monitoring und Reporting ... 37

4.2.6 Kontinuierliche Verbesserung ... 37 4.2.7 Rollen ... 38 4.3 Vorgehensmodell integriertes GRC-GPM ... 38 4.3.1 Strategie ... 41 4.3.2 Planung ... 41 4.3.3 Erfassung ... 42 4.3.4 Analyse ... 43 4.3.5 Gestaltungskonzept ... 45 4.3.6 Umsetzung ... 47 4.3.7 Monitoring ... 48 4.3.8 Projektabschluss ... 50 4.3.9 Rollen ... 50 4.3.10 Begleitend ... 50

5 Bedeutung des Modells für GPM und GRC ... 52

5.1 Prozessoptimierung ... 53 5.2 Risikomanagement ... 54 5.3 Compliance ... 54 5.4 Governance ... 56 5.5 Interne Revision ... 56 5.6 GRC ... 57

(9)

Inhalt III 6.1 Voraussetzungen ... 59

6.2 Schwierigkeiten und Grenzen ... 61

7 Fazit und Ausblick ... 64

Literatur 65

Anlagen 71

Anlage 73

(10)

IV Abbildungsverzeichnis

Abbildungsverzeichnis

Abbildung 1: Aufbau der Arbeit ... 5

Abbildung 2: Struktur eines Geschäftsprozess ... 7

Abbildung 3: Beispiel Prozesslandkarte ... 9

Abbildung 4: GPM Ausrichtung an Kunde und Strategie ... 10

Abbildung 5: GPM Kreislauf (angelehnt an zur Muehlen und HO, 2006) ... 11

Abbildung 6: Governance ... 14

Abbildung 7: Risikomanagement (Gabler, 2015) ... 18

Abbildung 8: Abhängigkeiten Prozess- und Risikomanagement (Rieke und Winkelmann, 2008) ... 19

Abbildung 9: Instrumente CMS (Wieland, 2008) ... 22

Abbildung 10: Das Zusammenspiel von Governance, Risiko, Compliance ... 25

Abbildung 11: Referenzrahmen für integriertes GRC (Racz, Weippl und Seufert, 2010) 28 Abbildung 12: Vorgehensmodell Prozessprojekte nach Novacess (NOVACESS, 2015) 31 Abbildung 13: Phasen Vorgehensmodell GPM (NOVACESS, 2015) und GRC (Menzies, 2009) ... 39

(11)

Tabellenverzeichnis V

Tabellenverzeichnis

Tabelle 1: Compliance-Elemente (Becker, Kugeler, Rosemann, 2012, S. 532) ... 23

Tabelle 2: Gemeinsame Ziele von GRC und GPM ... 30

(12)

VI Abkürzungsverzeichnis

Abkürzungsverzeichnis

BPM Business Process Management

BPR Business Process Redesign

CEO Chief Executive Officer

COSO Committee of Sponsoring Organizations of the Treadway Commission

CMS Compliance-Management-System

CPO Chief Process Officer

DCGK Deutscher Corporate Governance Kodex

GPM Geschäftsprozessmanagement

GRC Governance, Risiko und Compliance

IDW Institut der Wirtschaftsprüfer

IT Informationstechnologie KVP Kontinuierlicher Verbesserungsprozess PKR Prozesskostenrechnung PM Prozessmanagement PS Prüfungsstandard PV Prozessverantwortliche(r) RM Risikomanagement

(13)

Motivation, Zielsetzung und Aufbau 1

1 Motivation, Zielsetzung und Aufbau

Durch scheinbar endlose wirtschaftskriminelle Skandale, Bilanzskandale und Organisatio-nen die nicht kalkulierte und infolge ruinöse Risiken eingehen, sind die eng zusammen-hängenden Themen Governance, Risikomanagement und Compliance (GRC) zu unaus-weichlichen Themen in der Wirtschaftswelt geworden. Jede Organisation muss Ressour-cen in diese Themen investieren. "Hauptursache für die meisten Unternehmenskrisen waren damals wie heute Fehler des Managements, das im Auftrag der Eigentümer die Geschäfte der Gesellschaft führt und ihr Vermögen verwaltet" (Menzies, 2009, S. 4). Mit Hilfe der effektiven Implementierung der GRC-Disziplinen im Unternehmen, versucht man diesen Management-Fehlern proaktiv zu begegnen.

"Dass Unternehmen und durch sie Beauftragte sich bei ihrer wirtschaftlichen Tätigkeit an rechtliche, professionelle und gesellschaftliche Regeln halten müssen, ist die ordnungspo-litische Grundlage der Marktwirtschaft" (Wieland et. al, 2010, S.5). Es gibt aber auch di-verse gesetzliche Bestimmungen und Leitlinien (z.B. der Deutsche Corporate Governance Codex), die Organisationen genau dazu verpflichten.

Die Vernachlässigung dieser Themen kann "für Unternehmen zu gravierenden ökonomi-schen Konsequenzen führen" (Marekfia und Nissen, 2009, S.2). Darüber hinaus können die Konsequenzen für Unternehmen auch rechtlicher Natur sein, wie "Haftstrafen und Entlassungen für straffällige Mitarbeiter, aber auch Unternehmensleitung und Organe, Geldbußen/ Geldstrafen, Gewinnabschöpfung etc., sowie ein Risiko für die Reputation des Unternehmen – wobei die Dimensionen interdependent sind, d.h. die rechtlichen Risi-ken können sich u. U. auch finanziell auswirRisi-ken, ebenso wie sich auch Reputationsschä-den in einem Verlust von KunReputationsschä-den oder Investoren zeigen können" (Schweikert, 2014, S. 29).

Das sinnvolle Einsetzen und Umsetzen der GRC Themen im Unternehmen kann nicht nur finanzielle, rechtliche und Reputationsschäden verhindern, sondern auch ökonomische Vorteile schaffen. Die Aktivitäten in Governance, Risiko und Compliance sind eng mitei-nander verwoben. Sie greifen auf die gleichen Prozessen, Mitarbeiter und Informationen zurück. Berücksichtigt man diese Synergiepotenziale und führt diese Themen strukturiert und strategisch ein, so können fundierte Entscheidungen getroffen werden und Risiken effizienter gesteuert werden.

Zusätzliche zu den Herausforderungen der GRC Aktivitäten, sind die Unternehmen mit einer hohen Marktdynamik konfrontiert. Es herrscht ein Käufermarkt vor. Es gibt ein Über-angebot an Produkten und Dienstleistungen. Dadurch und durch die immer weiter voran-schreitende Globalisierung müssen Unternehmen sehr schnell auf den Markt und auf wechselnde Kundenbedürfnisse reagieren können und die Fähigkeit haben, qualitativ

(14)

2 Motivation, Zielsetzung und Aufbau hochwertige Produkte in kurzer Zeit zu liefern, um Konkurrenzfähig zu bleiben (Dräger und Rößler, 2012).

Daraus ergibt sich für Unternehmen, die erfolgreich bleiben wollen ,dass sie zum Einen ihre Geschäftsrisiken (inklusive der regulatorischen Risiken) genau kennen und im Auge behalten müssen, aber auch den Vorteil einer konsequenten Prozessorientierung nutzen sollten. Mit Hilfe des Prozessmanagement können sich Organisationen flexibel auf Kun-denbedürfnisse ausrichten, die Durchlaufzeiten optimieren und die Motivation und Identifi-zierung der Mitarbeiter mit Ihrer Aufgabe und dem Unternehmen maximieren. "Die Unter-nehmen müssen heutzutage mehr denn je in der Lage sein, integrierte Geschäftsprozes-se zu schaffen und dieGeschäftsprozes-se flexibel an die laufenden Veränderungen anpasGeschäftsprozes-sen." (PwC, 2011)

1.1 Problemstellung und Motivation

Sowohl GRC Aktivitäten als auch die Geschäftsprozesse einer Organisation orientieren sich an deren Strategie und den übergeordneten Zielen. Geschäftsprozesse müssen ver-schiedene Arten von Compliance-Anforderungen einhalten. Die Implementierung von neuen Geschäftsprozessen oder die Veränderung von bestehenden beeinflussen die Be-wertung von assoziierten Risiken und das wiederum kann zu neuen Regelungen im Un-ternehmen führen. Zusätzlich können durch die Überwachung und Analyse von Prozes-sen auch die darin enthaltenen Regelungen überprüft werden und das Ergebnis wiederum Einfluss auf das Compliance Management haben.

Die Themen Governance, Risiko und Compliance sind eng verwoben mit den Geschäfts-prozessen eines Unternehmens. Die Aktivitäten im Prozessmanagement und in den GRC Bereichen beeinflussen sich gegenseitig.

Trotzdem werden diese Themen häufig isoliert voneinander betrachtet und getrennt ein-geführt. Ein proaktives und strategisches Vorgehen ist häufig nicht die Tatsache in heuti-gen Unternehmen. Laut Marekfia und Nissen (2009, S.3) wird im GRC-Management häu-fig Einzelfall-bezogen und reaktiv gehandelt: "Bestehende Abhängigkeiten werden nicht berücksichtigt, was die Nutzung von Synergiepotentialen verhindert. Der Bereich GRC wird außerdem überwiegend als 'Kostenverursacher' wahrgenommen." Weiter wird postu-liert, dass durch diese nicht integrative Vorgehensweise mögliche Nutzeneffekte nicht erzielt werden können.

Ein möglicher und sehr effektiver Nutzen wäre die Optimierung der Geschäftsprozesse im Unternehmen. Was dazu führen würde, das GRC-Management nicht nur Kosten verur-sacht, sondern im Gegenteil auch an anderer Stelle Kosten minimiert und den Gewinn steigert. So berichten Sadiq, Governatore und Naimiri (2007), dass in einer Studie bis zu 80% der befragten Unternehmen einen wirtschaftlichen Nutzen von der Verbesserung ihrer Compliance-Systeme erwarten.

(15)

Motivation, Zielsetzung und Aufbau 3 Wissenschaft und Gesellschaft konzentrieren sich häufig nur auf einzelne Problemstellun-gen und Themen und beschäftiProblemstellun-gen sich mit diesen meist nur getrennt voneinander. So sind z.B. diverse ISO-Normen in Unternehmen weit verbreitet, die verschiedene Gebiete, wie Qualitätsmanagement, Risikomanagement und Compliance-Management isoliert voneinander betrachten (Schnetzer, 2014).

Auch eine Compliance-Studie, durchgeführt von NTT DATA (2013), kommt zu dem Er-gebnis, dass in vielen Unternehmen die GRC Themen nicht integriert werden und der strukturelle Rahmen unzureichend ist. Laut dieser Studie verfügen 23 Prozent der befrag-ten Unternehmen nicht über eine formelle und strukturierte Compliance Organisation und eine "Zusammenarbeit mit dem Risikomanagement und dem Internen Kontrollsystem fin-det sich nur in einem Viertel der Unternehmen. Dadurch werden Risiken nicht ganzheitlich betrachtet und Effizienzpotentiale bleiben ungenutzt" (NTT DATA, 2013).

Diese derzeitigen Defizite beim Umgang mit GRC und Prozessmanagement und die gro-ßen Vorteile einer integrativen Gestaltung sind ein wesentlicher Motivationsfaktor dieser Arbeit. Auch Marekfia und Nissen (2009, S.3) haben festgestellt: "Bestehende For-schungsarbeiten in diesem Kontext diskutieren häufig ebenfalls Einzelfragen. Hierbei bleibt bislang unbeantwortet, wie die vereinzelten Vorschläge und Methoden in einem umfassenden organisatorischen Ansatz zu integrieren sind."

Auch aus Sicht des Prozessmanagements sollte dieses mit anderen Managementdiszipli-nen wie dem GRC-Management verknüpft werden. So stellen Bayer und Kühn (2013, S. VII) fest, "dass derzeit Prozessmanagement sowie andere Managementansätze oftmals isoliert voneinander betrachtet und eingesetzt werden. Diese müssen aus unserer Sicht allerdings im Sinne eines integrierten Managementsystems im Zusammenhang genutzt werden." Von Kochanowski et. al (2014) wird weitergehend dazu festgestellt: "Die Syner-gien beim strategischen und operativen Prozessmanagement und den GRC-Themen können nur gehoben werden, wenn beides gemeinsam abgedeckt wird. Dann kann ein Mehrwert entstehen, der über die reine Erfüllung von Auflagen hinausgeht und eine effizi-ente, risikoarme und nachhaltige Geschäftsprozessbearbeitung sicherstellt."

Die Autorin schlussfolgert daher, dass große Vorteile daraus entstehen können, bei der Einführung eines GRC-Managements und des Prozessmanagements in einer Organisati-on strategisch und integrativ vorzugehen.

1.2 Zielsetzung und Forschungsfragen

Ziel dieser Arbeit ist es ein Vorgehensmodell zu skizzieren, mit dem Governance, Risiko-management und Compliance Management bei der Einführung von Geschäftsprozess-management sinnvoll integriert werden können.

Dazu soll erst ein Überblick über die Einzel-Themen auf Basis der aktuellen Literatur ge-geben werden, um eine Ausgangsbasis für eben diese Integration herzustellen.

(16)

4 Motivation, Zielsetzung und Aufbau Damit soll primär die nachfolgende übergeordnete Forschungsfrage im Verlauf der Arbeit geklärt werden:

 Wie können Governance, Risikomanagement und Compliance Management effek-tiv in das Geschäftsprozessmanagement integriert werden?

Darauf aufbauend sollen nachfolgende Fragestellungen, die zur Beantwortung der For-schungsfrage notwendig sind, ebenfalls geklärt werden:

 Welche Berührungspunkte bestehen bei GRC und Geschäftsprozessmanage-ment?

 Welchen Lösungsbeitrag kann die Integration zur Überwindung aktueller Herausforderungen in GPM und GRC hervorbringen?

 Welche Grenzen und Schwierigkeiten sind bei der Integration zu erwarten?

 Welche Voraussetzungen müssen für die Integration gegeben sein?

1.3 Aufbau der Arbeit

In Kapitel 2 wird der Hintergrund Prozessmanagement dargestellt und der Begriff Pro-zessmanagement definiert.

In Kapitel 3 werden zunächst die Begriffe Governance, Risiko und Risiko-Management sowie das Compliance-Management erläutert und der Begriff des strategischen, integrier-ten GRC-Managements erläutert.

Anschließend wird in Kapitel 4.1 ein Einführungsmodell für das Geschäftsprozessma-nagement vorgestellt, das NOVACESS-Modell. In Kapitel 4.2. wird das Vorgehen bei der isolierten Einführung des GRC-Managements erläutert. Diese beiden Ansätze werden dann in Kapitel 4.3 kombiniert und es wird ein neues Einführungsmodell für die integrierte Implementierung von GRC-Management und Geschäftsprozessmanagement (GRC-GPM) entwickelt und skizziert.

Zur Reflexion der Arbeitsergebnisse wurden qualitative Interviews geführt sowie empiri-sche Studien und Beispiele in der wissenschaftlichen Literatur herangezogen. Damit wur-den der mögliche Beitrag des Models zur Überwindung aktueller Schwierigkeiten in GRC und GPM ermittelt (Kapitel 5) sowie Grenzen, Schwierigkeiten und Voraussetzungen beim Einsatz eines integrierten Vorgehens bei der Einführung von GRC-GPM untersucht (Kapi-tel 6).

Abschließend wird ein Fazit gezogen und ein kurzer Ausblick auf weiteren Forschungsbe-darf gegeben. In Abbildung 1: Aufbau der Arbeit ist ein Überblick über die Inhalte und den Aufbau der vorliegenden Arbeit visualisiert.

(17)

Motivation, Zielsetzung und Aufbau 5

(18)

6 Grundlagen Prozessmanagement

2 Grundlagen Prozessmanagement

Prozessmanagement ist inzwischen ein allgegenwärtiges Thema. Es wird von vielen Un-ternehmen als wesentliche Strategie angesehen, um Wettbewerbsvorteile zu erzielen, indem Geschäftsprozesse optimiert und überwacht werden. Die Beschreibung und Opti-mierung von Prozessen hilft auch funktionalen Organisationen die Arbeit an Schnittstellen zwischen Abteilungen zu verbessern. Eine Studie von PwC (2011) stellte fest, dass GPM bei den befragten Organisationen, unabhängig von deren Größe und Branche, ein sehr wichtiges Thema zur Organisationsentwicklung ist. "Die Mehrzahl sieht einen direkten Zusammenhangzwischen ihren Aktivitäten im Geschäftsprozessmanagement und ihrem heutigen Unternehmenserfolg." (PwC, 2011, S. 10)

Schon in der ersten Hälfte des letzten Jahrhunderts kam erstmalig der Gedanke des zessmanagements auf. Fritz Nordsiek erkannte bereits 1934 die Notwendigkeit der Pro-zessorientierung. Durch den 2. Weltkrieg unterbrochen, beschäftigte man sich dann aber erst wieder ab den fünfziger Jahren mit dem Thema (Junker, 2014).

Erste vertiefende wissenschaftliche Arbeiten wurden aber erst in den 1980er Jahren unter anderem von Michael Gaitanides, Michael Porter und August-Wilhelm Scheer veröffent-licht (Becker, Kugeler und Rosemann, 2012). Nachdem sich in den 1990er Jahren die Mehrheit der Projekte zur Neuausrichtung von Betriebsabläufen ausschließlich um Ge-schäftsprozesse drehten, wird das Prozessmanagement neuerdings mit dem Ansatz der Kontinuierlichen Verbesserung in Einklang gebracht. Dieser Ansatz geht zurück auf die Total Quality Management Initiativen der 1980er Jahre und der Anstrengungen zu konti-nuierlichen Verbesserungen, die aus der Arbeit von W. Edwards Deming in den 1950er Jahren entstanden sind (zur Muehlen und Ho, 2006).

Das Geschäftsprozessmanagement besteht aus der Identifizierung von Prozessen und der Modellierung, Implementierung, Ausführung, Überwachung und Auswertung dieser. Viele Organisationen konzentrieren sich immer noch sehr auf ihren funktionalen Aufbau, die Abteilungen und Bereiche und deren Hierarchie. Sie haben den Übergang zu einer prozessorinerten Organisation noch nicht bewältigt. Daher ist die Strukturierung eines Unternehmens rund um seine Geschäftsprozesse ein sehr populäres Thema in der Ma-nagement- und auch der IT-Literatur (zur Muehlen und Ho, 2006).

(19)

Grundlagen Prozessmanagement 7

2.1 Definitionen

2.1.1 Prozesse

Die generelle Bedeutung des Wortes Prozess wird wohl von jedem Verstanden, aber es existieren trotzdem fast so viele Definitionen dafür, wie Autoren die über dieses Thema schreiben. Ganz allgemein wird in einem Prozess ein Input über verschiedene Aktivitäten in ein Ergebnis umgewandelt und dazu werden bestimmte Ressourcen benötigt.

Dillerup und Stoi (2011, S. 484) definieren einen Prozess aus betriebswirtschaftlicher Sicht als „eine Folge logisch zusammenhängender Aktivitäten zur Erstellung einer kun-denbezogenen Leistung“. Diese Leistung können Produkte oder Dienstleistungen sein, es gibt aber auch Definitionen, die den Geschäftsprozess beschreiben "als eine Menge von Aktivitäten, die gemeinsam ein Ziel verfolgen und typischerweise im Kontext von Organi-sationseinheiten mit definierten Rollen und Beziehungen ausgeführt werden" (Weilkens, Weiss und Grass, 2010, S. 42).

Ein Geschäftsprozess ist ein wesentlicher und direkt wertschöpfender Prozess, der im-mer vom Kunden zum Kunden verläuft. Er ist ein "spezieller Prozess, der der Erfüllung der obersten Ziele der Unternehmung (Geschäftsziele) dient und das zentrale Geschäftsfeld beschreibt" (Becker, Kugeler und Rosemann, 2012, S.7).

Alle im Unternehmen ablaufenden Prozesse bilden eine Prozessstruktur. Diese lassen sich in einem unterschiedlichen Detaillierungsgrad betrachten und bilden damit eine Pro-zesshierarchie (Dillerup und Stoi, 2011).

Abbildung 2: Struktur eines Geschäftsprozess

Abhängig davon wo die Prozesse in der Versorgungskette des Unternehmens angesiedelt sind, kann man (Kern-)Geschäftsprozesse und Unterstützungsprozesse unterscheiden.

K K Geschäfts-prozessebene Teilprozess= Fachprozess Tätigkeiten/ Aktivitäten Workflow

(20)

8 Grundlagen Prozessmanagement Die erste Ebene der Prozesshierarchie bilden immer die (Kern-)Geschäftsprozesse.

Diese richten sich direkt am Kundennutzen aus, gehen also vom Kunden zum Kunden (siehe Abbildung 1, K=Kunde). Die Geschäftsprozesse müssen sich nicht auf die Grenzen der Organisation beschränken, sondern können auch Aktivitäten bei Kunden, Lieferanten oder Partnern mit einschließen (Schmelzer und Sesselmann, 2013).

Unterstützende Tätigkeiten, die nicht direkt Teil eines Geschäftsprozesses sind, werden als Unterstützungsprozesse beschrieben. Dies ist ein "Prozess, dessen Aktivitäten aus Kundensicht zwar nicht wertschöpfend, jedoch notwendig sind, um einen Kernprozess ausführen zu können" (Becker, Kugeler und Rosemann, 2012, S.7).

Die Autoren zur Muehlen und Ho (2006) beschreiben die Komponenten und Eigenschaf-ten eines Prozesses, die diesem zugeordnet sind. Dies sind zum einen seine Struktur, also z.B. der Kontrollfluss unter den einzelnen Aktivitäten, die Datenflussabläufe und die Regelungen, die Beschränkungen in der Prozessausführung beinhalten. Zum anderen sind dies seine Ziele und ergänzende Elemente wie z.B. Ressourcen, Input und Output.

2.1.2 Prozessverantwortliche

Damit Prozesse funktionieren und effizient gehalten werden, werden Prozessverantwortli-che eingesetzt. Diese sind für den Prozessablauf und das Prozessergebnis verantwort-lich, sowie für die funktionsübergreifende Planung, Steuerung und Kontrolle des Prozes-ses (Dillerup und Stoi, 2011).

2.1.3 Prozesslandkarte

In einer Prozesslandkarte können Prozesse einer Organisation übersichtlich eingeordnet werden (siehe Abbildung 3). Einzelne Geschäftsprozesse werden in ihren Wechselwir-kungen untereinander grafisch dargestellt und es werden ggf. die Prozessverantwortli-chen (siehe 2.1.2) definiert. Die Prozesslandkarte kann dann Grundlage für Optimierun-gen, Beschreibungen und Definitionen einer Prozessorganisation sein.

Prozesse zur Führung der Organisation werden als Führungsprozesse/ Management-prozesse bezeichnet.

Alle Aktivitäten, die zum operativen Tagesgeschäft gehören, fallen in den Bereich der schäftsprozesse und diejenigen, die von der Verwaltung zu erledigen sind und die Ge-schäftsprozesse unterstützten, sind in der Prozesslandkarte als Unterstützungsprozesse abgebildet (siehe 2.1.1). Ob man Prozesse wie Einkauf, Marketing, Logistik oder Vertrieb eher bei den Kerngeschäftsprozessen oder bei den Unterstützungsprozessen abbildet, hängt von der Bedeutung dieser Prozesse bei der Wertschöpfung in der einzelnen Orga-nisation ab und muss im Einzelfall davon abhängig entschieden werden.

(21)

Abbildung 3: Beispiel Prozesslandkarte

2.1.4 Prozessmanagement

Die Gestaltung und die Organisation eines Unternehmens in Orientierung an Prozessen werden häufig als Prozessmanagement bezeichnet. Die internationale Bezeichnung ist

Business ProcessManagement (BPM). In dieser Arbeit wird der deutsche Begriff Ge-schäftsprozessmanagement (GPM) verwendet.

Weilkiens, Weiss und Grass (2010, S. 60) geben eine allgemeine und verbreitete Definiti-on vDefiniti-on Benner und Tuschmann wieder:

Das Geschäftsprozessmanagement beinhaltet koordinierte Aufgaben, um die Pro-zesse der Organisation zu erfassen, zu verbessern und zu integrieren. In diesem Kontext wird die Organisation als ein System vernetzter Prozesse betrachtet. In Anlehnung an Gaitanides etl al. definieren Dillerup und Stoi (2011, S. 484) Prozessma-nagement folgendermaßen:

Prozessmanagement umfasst die ganzheitliche Planung, Steuerung und Kontrolle der betrieblichen Abläufe im Hinblick auf deren Kosten, Zeit und Qualität. Ziel ist die bestmögliche Erfüllung der Kundenanforderungen durch das Prozessergebnis.

(22)

10 Grundlagen Prozessmanagement "Die Besonderheit des Prozessmanagements ist die durchgehende Orientierung am

Kun-den, in deren Rahmen auch interne Kunden-Lieferanten-Beziehungen berücksichtigt wer-den…Ergänzt wird das Konzept durch laufende Verbesserungen, die sinnvollerweise für die Mitarbeiter mit entsprechenden Anreizen verbunden sind" (Dillerup und Stoi, 2011). Es ist aber nicht ausreichend sich nur am Kunden zu orientieren. Dies ist nur ein wichtiger Aspekt. Das Geschäftsprozessmanagement sollte neben den Kundenbedürfnissen auch die strategischen Ziele des Unternehmens berücksichtigen (siehe Abbildung 4). "Dazu dienen Prozessführung, Prozessorganisation und Prozesscontrolling. Sie schaffen die Voraussetzungen für die Zielerreichung und Optimierung der Geschäftsprozesse." (Schmelzer und Sesselmann, 2013, S. 8)

Abbildung 4: GPM Ausrichtung an Kunde und Strategie

Schmelzer und Sesselmann (2013, S.15) gehen noch weiter und haben das Geschäfts-prozessmanagement zusammenfassend mit folgenden Eigenschaften charakterisiert: Prozessorientiert, Strategieorientiert, Kundenorientiert, Wertschöpfungsorientiert, Perfor-manceorientiert, Mitarbeiterorientiert, Lernorientiert und Kompetenzorientiert.

Zur Muehlen und Ho (2006) fassen unterschiedliche Definitionen des Geschäftsprozess-managements zusammen. Danach ist die zentrale Aufgabe des Geschäftsprozessmana-gements die verschiedenen Komponenten eines Prozesses (Input, Output, Ressourcen, Prozessstruktur und Prozessziele) zueinander bündig auszurichten. Wenn solch eine Aus-richtung erreicht wird, dann sollte sich die allgemeine Effizienz der Prozesse im Unter-nehmen steigern und sowohl Qualität als auch Quantität des Outputs sollten wesentlich verbessert werden.

Diese Ausrichtung wird aber selten durch eine einmalige Prozessoptimierung erreicht. Um dies zu erreichen sollte ein iteratives Verfahren eingeführt werden, in Form eines kontinu-ierlichen Prozessmanagement Kreislaufs (siehe Abbildung 5).

(23)

Abbildung 5: GPM Kreislauf (angelehnt an zur Muehlen und HO, 2006)

2.2 Prozessorientierte Organisationen

Unternehmen wollen sehr schnell auf den Markt und auf wechselnde Kundenbedürfnisse reagieren können und die Fähigkeit haben, qualitativ hochwertige Produkte in kurzer Zeit zu liefern, um Konkurrenzfähig zu bleiben (Dräger/Rößler, 2012). Dies können prozess-orientierte Organisationen. Schmelzer und Sesselmann (2013, S.30) führen eine Studie an, laut der "beeinflusst der Grad der Prozessorientierung die Höhe der Effizienz von Or-ganisationen. Je höher der Grad der Prozessorientierung ist, desto höher ist die Organisa-tionseffizienz."

Heutzutage sind die meisten Organisationen aber noch funktionsorientiert aufgebaut. "Das bedeutet, dass zusammenhängende Funktionen in einer Einheit gebündelt werden, z.B. die Buchhaltung, die Personalabteilung oder die Kundenabteilung. Die Geschäftspro-zesse stehen orthogonal zu dieser Struktur" (Weilkiens, Weiss, Grass, 2010, S. 63). Dabei konzentriert sich der Aufbau auf Spezialisierung und Aufgabenteilung. Dies hat den

(24)

Ur-12 Grundlagen Prozessmanagement sprung in Taylors Theorie der arbeitsteiligen Produktion. Becker, Kugeler und Rosemann

(2012, S. 6) fassen dies wie folgt zusammen: "die Aufbauorganisation beinhaltet die Glie-derung der Unternehmung in Teilsysteme (z.B. Abteilungen, Divisionen, Stellen) und die Zuordnung von Aufgaben zu diesen Teilsystemen."

Häufig führen der funktionale Aufbau einer Organisation und die Ausrichtung der Abläufe daran zu einer Vielzahl an Übergabepunkten an Funktionsgrenzen. Diese führen wiede-rum zu einem erheblichen Aufwand an Kommunikation und Koordination und damit zu einer unflexiblen und zeitraubenden Arbeitsabwicklung. Auch die funktionsübergreifende Betrachtung von Abläufen gerät dort leicht in den Hintergrund.

Die Prozessorientierung kann die Zahl der Schnittstellen erheblich reduzieren, da Teil-prozesse bei einem Bearbeiter oder einer Organisationseinheit zusammengefasst werden (Dillerup und Stoi, 2011). Die Mitarbeitermotivation wird dabei erhöht, da der Gesamt-überblick über die Abläufe (Leistungszusammenhang) behalten wird und der Mitarbeiter durch abgeschlossene Aufgaben Erfolgserlebnisse erhält.

Auch Dräger und Rößler (2012) weisen darauf hin, dass die Prozessorientierung nicht nur Durchlaufzeiten und Kosten optimiert, sondern auch die Mitarbeitermotivation verbessert wird.

Bei der Prozessorientierung werden Geschäftsprozesse vom Kunden aus über die ge-samte Prozesskette im Unternehmen (die Auftragsabwicklung) und wieder bis zum Kun-den hin definiert. Sachlich und fachlich zusammenhängende Aktivitäten werKun-den ganzheit-lich zusammengefasst und auf einen oder wenige beteiligte Mitarbeiter übertragen. Es ist nicht einfach eine prozessorientierte Organisation zu werden und es werden wohl jedem bei der Neuausrichtung einige Schwierigkeiten begegnen. Weilkiens, Weiss und Grass (2010) weisen darauf hin, dass einige Faktoren wichtig sind, um erfolgreich zur Prozessorientierung zu gelangen. Wichtig ist z.B., dass die Werte der Organisation ent-sprechend angepasst werden und sie die erfolgreiche Arbeit in Prozessen fördern. Auch Vision und Mission sollten so gestaltet sein, dass sie die Geschäftsprozesse als zentrales Element der Organisation fördern. Ebenso muss die Struktur entsprechend angepasst werden. "Die Geschäftsprozesse benötigen einen Prozessverantwortlichen, was unter Umständen eine neue Rolle in der Organisation ist" (Weilkiens, Weiss, und Grass, 2010, S. 65).

(25)

Grundlagen Governance, Risiko, Compliance 13

3 Grundlagen Governance, Risiko, Compliance

Governance, Risiko und Compliance (GRC) sind eng miteinander zusammenhängende und verwobene Themen. In diesem Kapitel werden erst die einzelnen Themen vorgestellt und definiert. Anschließend wird das GRC-Management beschrieben und definiert. Das GRC-Management beinhaltet die einzelnen Themen Governance, Risiko und Compliance, ist aber durch die entstehenden Synergien und die holistische Betrachtungsweise in der Regel mehr als nur die Summe seiner Teile.

3.1 Governance

Corporate Governance bedeutet direkt übersetzt zu Deutsch Unternehmensführung oder Unternehmensverfassung (Romeike, 2008). Allerdings wird der Begriff im Sprachge-brauch nicht nur als Unternehmensführung verstanden, sondern eher normativ eingesetzt. Daher wird in den Definitionen nicht nur das "Was" sondern meist auch das "Wie" mit ein-bezogen.

So beschreiben z.B. Schmelzer und Sesselmann (2013, S. 38) Governance als gute und verantwortungsvolle Unternehmensführung und -kontrolle: "Ziel der Governance ist es, eine verantwortungsvolle zielgerichtete und transparente Führung und Überwachung zu gewährleisten."

Corporate Governance gibt demnach dem Management einer Organisation Überblick und Ausrichtung. Sie gibt einen Rahmen vor, wie Prozesse gelenkt werden sollen und gibt Richtlinien und Regeln vor, wie sich das Unternehmen und die Mitarbeiter 'benehmen' sollen (siehe Abbildung 6).

Ein weiteres Ziel der Corporate Governance ist die Festlegung der Beziehung zwischen Unternehmensführung und Eigentümer. "Nach herrschender Meinung war und ist das Auseinanderfallen von Eigentum und Kontrolle das Kernproblem von Corporate Gover-nance" (Menzies, 2009, S. 4). Die Unternehmensführung soll im Sinne und zur allgemei-nen Nutzen der Shareholder handeln. Damit sichert Corporate Governance "die Existenz von Unternehmen und wirkt sich positiv auf den Unternehmenswert aus" (Menzies, 2009, S. 4).

(26)

14 Grundlagen Governance, Risiko, Compliance

Abbildung 6: Governance

Verschiedene Leitlinien und Regelwerke beschreiben wie in einer Organisation gute Un-ternehmemsführung (Corporate Governance) aussehen sollte. Dabei gibt es unterschied-liche Zielrichtungen (Krems, 2012):

 Eine gute Unternehmensführung im Sinne der Eigentümer und der Öffentlichkeit

 Langfristigen Erfolg durch zusätzliches Einbeziehen von weiteren Stakeholdern (wie z.B. Mitarbeitern)

 Einen umfassenden Ansatz der auch gesellschaftliche und kulturelle Verantwor-tung mit einbezieht.

Einen internationalen Standard geben die Leitlinien der OECD für Corporate Governance, die relativ umfassend sind. Die OECD (2004) hat die große Bedeutung von Corporate Governance erkannt und sagt, dass sie ein Schlüssel zum Unternehmenserfolg und -wachstum ist und sie das Vertrauen von Investoren fördert. Folgendes findet sich in den OECD Grundsätzen zur Corporate Governance:

"Sie betreffen das ganze Geflecht der Beziehungen zwischen dem Management eines Unternehmens, dem Aufsichtsorgan, den Aktionären und anderen Unternehmensbeteilig-ten (Stakeholder). Die Corporate Governance liefert auch den strukturellen Rahmen für die Festlegung der Unternehmensziele, die Identifizierung der Mittel und Wege zu ihrer Umsetzung und die Modalitäten der Erfolgskontrolle." (OECD, 2004, S. 11)

Der deutsche Corporate Governance Kodex ist für börsennotierte Unternehmen verpflich-ten und gilt als Empfehlung für alle anderen. Er wird von der Regierungskommission Deutscher Corporate Governance Kodex verabschiedet und regelmäßig aktualisiert und

Governance Vision Mission Strategie Führung Ziele

(27)

Grundlagen Governance, Risiko, Compliance 15 er besitzt über die Entsprechenserklärung gemäß § 161 AktG eine gesetzliche Grundlage (DCGK, 2015).

Der deutsche Kodex bezieht sich auf die Unternehmensinteressen (also die gute Unter-nehmensführung im Sinne der Eigentümer) und geht damit weniger weit, als die OECD Leitlinien (Krems, 2012). Er enthält verbindliche Regelungen, Soll-Regeln und Empfeh-lungen. Der DCGK "definiert den rechtlichen Ordnungsrahmen für die Leitung und Über-wachung eines Unternehmens bzw. empfiehlt Grundsätze für eine optimale Unterneh-mensführung sowie eine optimale Überwachung eben dieser Führung" (Romeike, 2008, S 33).

Laut Krems (2012) sind die japanischen Leitsätze der Keidanren Charter for Good Corpo-rate Behavior ein sehr umfassendes Regelwerke (Einbeziehung aller Stakeholder und gesellschaftlicher und kultureller Verantwortung), die auch den Richtlinien eines umfas-senden Qualitätsmanagement TQM entsprechen.

Es existiert keine einheitliche Definition für Corporate Governance. Viele Unternehmen definieren ihre Corporate Governance in ihren Corporate-Governance-Berichten. Dabei werden ein Verhaltensrahmen für die Leitungsorgane und bei einer Aktiengesellschaft das Zusammenwirken von Leitungs- -und Überwachungsorgan definiert. Außerdem sollen das Vertrauen von Investoren, Kunden, Mitarbeiter, und der Öffentlichkeit in die Unterneh-mensleitung und Überwachung gefördert werden (Romeike, 2008).

Zur Corporate Governance gehört ebenfalls ein internes Überwachungssystem, das un-ternehmensinterne Kontrollsysteme und das Risikomanagement überprüft, ob sie umge-setzt wurden und ob sie zielführend sind. (Fischermanns, 2014)

Streck und Binnewies (2009) beleuchten den Begriff Corporate Governance aus Richtung der Regelerstellung. Für sie ist Corporate Governance ein Regelwerk für die Unterneh-mensleitung. Es beinhaltet die Gesamtheit der organisatorischen und inhaltlichen Anord-nungen für die rechtlich einwandfreie, verantwortungsvolle und zielgerichtete Führung und Überwachung des Unternehmens. Corporate Governance·Regeln können sowohl ver-pflichtend als auch unverbindlich gestaltet sein.

3.1.1 Governance und Prozessmanagement

Governance gibt auch den Rahmen für das Prozessmanagement vor. Weilkiens, Weiss und Grass (2010, S. 147) definieren folgendermaßen: "Die Corporate Governance ist die Menge der Prozesse und Vorgaben, die die Einheiten eines Unternehmens führen, steu-ern und verwalten. Sie leitet sich aus den Zielen und dem Umfeld des Untsteu-ernehmens ab und wird maßgeblich durch Vorgaben beeinflusst." Diese Definition nimmt direkten Bezug auf die Führungsprozesse eines Unternehmens und betont die Bedeutung, die Führungs-prozesse (siehe Kapitel 2.1.3) an den Richtlinien und der Strategie auszurichten, die in der Corporate Governance beschrieben sind. Bei gemeinsamer Ausrichtung von

(28)

Corpora-16 Grundlagen Governance, Risiko, Compliance

te Governance und Prozessmanagement, werden durch die Corporate Governance die Führungsprozesse beschrieben.

Eine weitere Komponente der Corporate Governance ist die Process Governance. "Sie umfasst die unternehmensweit gültigen Regeln, Vorschriften, Werte und Grundsätze be-zogen auf Führung, Organisation, Kontrolle, Steuerung und Optimierung der Geschäfts-prozesse und das gesamte Geschäftsprozessmanagementsystem." (Schmelzer und Ses-selmann, 2013)

3.2 Risikomanagement

In dieser Arbeit geht es nicht um die Risiken, die mit GPM-Projekten verbunden sind, sondern um das allgemeine Risikomanagement einer Organisation und wie dieses bei der Prozess-orientierten Ausrichtung eines Unternehmens in das GPM integriert werden kann.

3.2.1 Risiken

Risiken sind alle internen und externen Ereignisse und Entwicklungen, die das Erreichen der Unternehmensziele gefährden. Hierzu zählen nicht nur direkt monetär fassbare Risi-ken, wie etwa Verluste eines Unternehmensteils oder ein Brandschaden, sondern auch qualitative Risiken wie sie etwa ein Rufschaden oder ein Attraktivitätsverlust als Arbeitge-ber darstellen.

Risiken können auch mathematisch ausgedrückt werden, als die Wahrscheinlichkeit für das Auftreten von Verlust oder Gewinn multipliziert mit der entsprechenden Gewinn- bzw. Verlustgröße (zur Muehlen und Ho, 2006).

Das PMI (Project Management Institute) definiert Risiko als "an uncertain event or conditi-on that, if it occurs, has a positive or negative effect conditi-on a project’s objectives" (PMI; 2015). Rieke und Winkelmann (2008) haben festgestellt, dass in der wirtschaftswissenschaftli-chen Literatur zwei unterschiedliche Auffassungen zum Risikobegriff vorherrswirtschaftswissenschaftli-chen. Sie unterscheiden in die "wirkungsbezogene Begriffsauffassung" und die "ursachenbezoge-ne". "Die wirkungsbezogene Begriffsauffassung fokussiert auf die möglichen Auswirkun-gen und beschreibt das Risiko als Möglichkeit der Zielabweichung" und "die ursachenbe-zogene Begriffsauffassung setzt am Punkt der Risikoentstehung an und stellt die Ent-scheidung, die durch ein Informationsdefizit geprägt ist, in den Vordergrund der Betrach-tung." Diese beiden Ausrichtungen widersprechen sich aber nicht. Sie können im Gegen-teil miteinander verknüpft werden.

(29)

3.2.2 Gesetzliche Grundlage und Definition Risikomanagement

Es gibt zahlreiche gesetzliche Grundlagen für das Risikomanagement. Dazu zählen Basel II (Banken), Solvency II (Versicherungen), der Sarbanes-Oxley Act (amerikanische Recht-sprechung), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (Kon-TraG) und der Deutsche Corporate Governance Kodex (Rieke und Winkelmann, 2008). Der § 91 Abs. 2 AktG bestimmt: "Der Vorstand hat geeignete Maßnahmen zu treffen, ins-besondere ein Überwachungssystem einzurichten, damit den Fortbestand des Unterneh-mens gefährdende Entwicklungen früh erkannt werden."

Durch systematisches Risikomanagement sollen unternehmerische Risiken erkannt, be-wertet und berichtet werden und es sollen potenzielle Risiken durch Kontrollmaßnahmen in dem Maße minimiert werden, dass deren Eintritt das Erreichen der Unternehmensziele nicht gefährdet. Risikomanagement soll dabei den Spielraum der Unternehmung nicht einengen (verstanden als Vermeidung aller risikoreichen Aktivitäten), sondern es sollen Chancen bei transparenten und beherrschbaren Risiken konsequent genutzt werden kön-nen. Ziel ist es nicht, "das natürliche Risiko unternehmerischen Handelns auf der Tatsa-che eines unvollständigen Informationsstandes, also der UnsiTatsa-cherheit bzw. der Unge-wissheit über zukünftige Ereignisse aufgrund unsicherer oder fehlender Daten zu eliminie-ren, sondern Prozessrisiken zu analysieeliminie-ren, zu kontrollieren und darüber zu berichten" (Becker, Kugeler und Rosemann, 2012, S. 522).

Zu den relevanten Risiken gehören sowohl Compliance-Themen (siehe 3.3), soweit dar-aus Risiken entstehen, sowie alle weiteren internen und externen Unternehmensrisiken. Risikomanagement dient der Identifikation, Bewertung, Steuerung und Überwachung (in-klusive Dokumentation) von Risiken. "Diese Phasen werden in einem iterativen Prozess durchlaufen, die Ergebnisse des Risikocontrollings werden darüber hinaus bei der Defini-tion der Risikomanagementstrategie rückkoppelnd berücksichtigt." (Becker, Kugeler und Rosemann, 2012, S. 520)

Die verschiedenen Phasen dieses Risikomanagement-Kreislaufs (siehe Abbildung 7) werden begleitet durch eine Risikopolitik, Prozessüberwachung und einer Risikokommu-nikation (Gabler, 2015).

Durch die Identifikation werden alle aktuellen und zukünftigen Risiken gesammelt. Die Bewertung erfolgt meistens indem die Eintrittswahrscheinlichkeit und die erwartete Scha-denshöhe bei Eintritt multipliziert werden. Die Steuerung findet Möglichkeiten, um auf das identifizierte und bewertete Risikospektrum ihm Rahmen der festgelegten Risikopolitik zu reagieren "Dabei stehen einer Unternehmung grundsätzlich vier verschiedene Steue-rungsmöglichkeiten zur Auswahl: Vermeidung mit gleichzeitigem Geschäftsverzicht, Ver-minderung, Überwälzung z.B. auf eine Versicherung oder das Selbsttragen des Risikos." (Gabler, 2015)

(30)

Abbildung 7: Risikomanagement (Gabler, 2015)

3.2.3 Risikomanagement und Prozessmanagement

Effektives Risikomanagement kann nur in Verbindung mit dem Prozessmanagement statt-finden. So ist es z.B. eine Aufgabe des Risikomanagers die identifizierten Risiken inner-halb der Organisation zu kommunizieren. In einer Prozess-orientierten Organisation kann der Risikomanager an die Prozessverantwortlichen die für sie relevanten Risiken weiter-geben und diese können dann alle am Prozess beteiligten Mitarbeiter informieren. (Rieke und Winkelmann, 2008)

Rieke und Winkelmann (2008) haben festgestellt, dass auch vor dem Hintergrund der aktuellen Gesetzgebung (KonTraG, Sarbanes.Oxley bzw. COSO, Basel II) Prozessmodel-lanalysen zur Risikoidentifizierung notwendig sind bzw. teilweise schon direkt darauf ver-weisen.

Auch bei externer Prüfung des Risikomanagements eines Unternehmens (z.B. nach IDW-Standard) bietet sich die Verwendung von Prozessmodellen an. "Die Verwendung von

(31)

Grundlagen Governance, Risiko, Compliance 19 Prozessmodellen bietet sich hier an, da die Kontrollmaßnahmen im prozessualen Kontext präsentiert werden und damit besser nachvollziehbar werden. Die Prozessmodelle kön-nen damit Bestandteil des Risikomanagementhandbuchs werden und dieses sinnvoll und zielführend erweitern" (Rieke und Winkelmann, 2008, S. 347).

Abbildung 8: Abhängigkeiten Prozess- und Risikomanagement (Rieke und Winkelmann, 2008)

3.3 Compliance

Im Grunde ist es Allgemeinwissen, dass Unternehmen, ihre Leitungsorgane und ihre Mit-arbeiter sich an das geltende Recht halten müssen. "Dass dies jedoch in der Praxis nicht selbstverständlich ist, zeigt sich anhand verschiedener in jüngerer Vergangenheit bekannt gewordener Fälle der Wirtschaftskriminalität in deutschen Unternehmen, anhand von Kar-tellverstößen, die durch Rekordbußgelder sanktioniert wurden oder diversen Unterneh-menskrisen, zu denen es durch Gesetzesverstöße gekommen ist, an denen teilweise die Unternehmensleitungen in erheblicher Weise beteiligt waren." (Romeike, 2008, S. 19) Schon allein wegen drohenden juristischen und finanziellen Nachteilen sowie Reputati-onsschäden bei Regelverstößen, muss sich jede Unternehmensleitung mit Compliance beschäftigen. "Das Einhalten von globalen Regeln und Standards ist heute eine Grundvo-raussetzung dafür, dass Unternehmen Geschäfte betreiben und am Markt auftreten dür-fen" (Menzies, 2009, S. 3).

(32)

Der Begriff Compliance kommt aus dem Englischen (to comply with something = mit et-was übereinstimmen) und beschreibt im weitesten Sinne Regeltreue oder Regelkonformi-tät. Im betriebswirtschaftlichen Sinn steht Compliance für die Einhaltung sämtlicher für das jeweilige Unternehmen relevanten Compliance-Regelungen.

Einige Vorstände und Geschäftsführer haben aber bereits auch erkannt, dass Compliance nicht nur präventiv Risiken aus Regeverstößen vorbeugt, sondern sie "erkennen nicht selten in einem funktionierenden Compliance-Management auch den strategischen Vorteil gegenüber dem Wettbewerb" (Wecker und van Laak, 2009, S. 33). Dies ist nicht nur der Fall, weil Unternehmen durch rechtmäßiges Handeln vermeiden auf die sog. Schwarze Liste zu kommen (und damit von gewinnbringenden Geschäften ausgeschlossen werden), sondern auch weil viele Unternehmen eher mit Partnern Geschäfte machen, bei denen sie nicht mit dem Risiko von Regelverstößen rechnen müssen, das auch auf ihre eigene Re-putation Einfluss nehmen würde.

Eine weitere Definition für Compliance gibt Krügler (2011, S. 50): „Der Begriff Compliance steht für die Einhaltung von gesetzlichen Bestimmungen, regulatorischer Standards und Erfüllung weiterer, wesentlicher und in der Regel vom Unternehmen selbst gesetzter ethi-scher Standards und Anforderungen.“

Compliance-Regelungen sind die Gesamtheit aller Regelungen im Unternehmen. Sie sol-len sicherstelsol-len, dass gesetzliche und individuelle Vorgaben von alsol-len Mitarbeitenden eingehalten werden. Bei den individuellen Vorgaben handelt es sich um Regelungen, die aus strategischen, kundenrelevanten oder gesellschaftlichen Gründen als Regelung vor-geschrieben werden. Menzies (2009) geht noch weiter und beschreibt Compliance nicht nur als die Einhaltung von Regelungen, sondern auch als "die Erfüllung weiterer wesentli-cher Anforderungen der Stakeholder" und "Compliance trägt dazu bei, die Beständigkeit des Geschäftsmodells, das Ansehen in der Öffentlichkeit und die finanzielle Situation ei-nes Unternehmens zu verbessern" (S. 2).

Im Jahr 2002 hat das Bundesministerium der Justiz den Deutschen Corporate Gover-nance Kodex (DCGK) für börsennotierte Unternehmen erstmals veröffentlicht. Der Kodex unterstreicht die Verantwortung des Vorstands, für die Einhaltung gesetzlicher Bestim-mungen und unternehmensinterner Richtlinien zu sorgen. Dies wird im Kodex (DCGK, 2015) unter Ziffer 4.1.3 wie folgt definiert: "Der Vorstand hat für die Einhaltung der gesetz-lichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance)." Auch für nicht bör-sennotierte Unternehmen wird die Einhaltung des Kodex empfohlen.

Compliance beschränkt sich aber nicht nur auf die Einhaltung von Regeln und die Rechts-treue eines Unternehmens, "sondern umschreibt die Summe der organisatorischen Maß-nahmen eines Unternehmens, mit denen gewährleistet werden soll, dass sich die Ge-schäftsleitung wie auch die Mitarbeiter des Unternehmens rechtmäßig verhalten" (Wecker

(33)

Grundlagen Governance, Risiko, Compliance 21 und van Laak, 2009, S.31). Diese Organisation wird mit einem Compliance-Management -System abgebildet.

3.3.1 Compliance-Management-System

Die Unternehmensleitung hat die Pflicht für die Einhaltung der Vorgaben der Rechtsord-nung zu sorgen. Rechtsquellen dazu sind neben der gesellschaftsrechtlichen Legalitäts-pflicht auch § 130 des Ordnungswidrigkeitengesetzes. Um dies sicherzustellen und um sinnvolle interne Regelungen zu erstellen und transparent zu machen, wird in vielen Un-ternehmen ein Compliance-Management-System (CMS) eingeführt.

Das CMS umfasst alle Maßnahmen und Programme, um regelkonformes Verhalten im Unternehmen zu fördern. Es ist ein integraler Bestandteil der Corporate Governance. Im Grunde ist es ein System, das die Einhaltung von internen und externen sowie ver-pflichtenden und freiwilligen Vorgaben sicherstellt.

Unter einem Compliance-Management-System (CMS) versteht man die Organisation, Dokumentation, Kommunikation und Überwachung von Maßnahmen, welche die Einhal-tung von Regelungen systematisch gewährleisten sollen. Die Compliance Programme in einem solchen System haben eine Präventivfunktion. "Durch sie sollen problematische Sachverhalte und Strukturen vermieden, frühzeitig aufgedeckt und potentielle Verstöße möglichst schon im Vorfeld erkannt werden" (Romeike, 2008).

Compliance-Systeme sollen Unternehmen vor Compliance-Risiken schützen. Diese sind Risiken, die durch Verstöße gegen interne oder externe Regelungen entstehen, bei denen große wirtschaftliche Schäden entstehen können. Dabei geht es nicht darum, Mitarbeiter auf Gesetzestreue zu überwachen. Dies sollte selbstverständlich sein. Es geht eher da-rum, Gesetze und Regeln zu identifizieren, die für das Unternehmen besonders wichtig und besonders risikorelevant sind und diese den Mitarbeitern transparent zu machen. Einen Überblick über die Instrumente eines CMS liefert Wieland (2008), zu sehen in Ab-bildung 9.

(34)

Abbildung 9: Instrumente CMS (Wieland, 2008)

Seit März 2011 gibt es einen Prüfungsstandard des IDW, der IDW PS 980. Damit wurden erstmals durch das IDW Grundelemente eines Compliance-Management-Systems defi-niert. Mit Hilfe des Standards werden Konzeption, Angemessenheit, Implementierung und Wirksamkeit der Elemente (siehe Tabelle 1) eines CMS geprüft.

Der IDW PS (2011, S. 3) definiert ein Compliance Management System als "die auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele eingeführten Grundsät-ze und Maßnahmen eines Unternehmens […], die auf die Sicherstellung eines regelkon-formen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens so-wie ggf. von Dritten abzielen, d.h. auf die Einhaltung bestimmter Regeln und damit auf die Verhinderung von wesentlichen Verstößen (Regelverstöße)."

Seit Dezember 2014 gibt es einen globalen Leitfaden zur Gestaltung von CMS, den ISO 19600 "Compliance Management Systems". Dieser Leitfaden unterstützt Unternehmen bei der Implementierung, Umsetzung, Bewertung, Erhaltung und Verbesserung eines CMS.

Compliance Element Beschreibung

Compliance-Kultur Grundeinstellung und Verhaltensweisen des Manage-ments sowie die Definition der Rolle der Aufsichtsorgane

(35)

Grundlagen Governance, Risiko, Compliance 23 Compliance-Ziele Festlegung der relevanten Teilbereiche und der in den

Teilbereichen einzuhaltenden Regeln.

Compliance-Organisation Festlegung von Rollen und Verantwortlichkeiten sowie Aufbau- und Ablauforganisation im CMS als integraler Bestandteil der Unternehmensorganisation

Compliance-Risiken Festlegung von Compliance-Risiken unter Berücksichti-gung von Compliance-Zielen. Einführung von Verfahren zur systematischen Risikoerkennung und

-berichterstattung.

Compliance-Programm Auf Grundlage der Compliance-Risiken erfolgt die Festle-gung von Grundsätzen und Maßnahmen zur Begrenzung oder Vermeidung von Compliance-Verstößen.

Compliance-Kommunikation

Information der Mitarbeiter über das Compliance-Programm sowie die damit verbundenen Aufgaben und Rollen.

ComplianceÜberwachung und -Verbesserung

Überwachung der Angemessenheit und Wirksamkeit des CMS sowie ggf. Verbesserung bez. Beseitigung festge-stellter Mängel.

Tabelle 1: Compliance-Elemente (Becker, Kugeler, Rosemann, 2012, S. 532)

3.3.2 Compliance und Prozessmanagement

"Obwohl Compliance in der Praxis oft als abstrakt, komplex und intransparent angesehen wird, ist es in der heutigen Geschäftswelt ein unausweichliches Thema. Durch die Modu-larisierung der Prozesse und der Individualisierung der IT, kommen neue Herausforde-rungen auf die Einhaltung der Compliance zu, bedarf es einer erweiterten Herangehens-weise zu ihrer Umsetzung und Sicherstellung" (Rieman, 2012). Compliance ist gerade wegen seiner grundsätzlichen Bedeutung für Struktur, Abläufe und Kultur innerhalb einer Organisation keine reine Maßnahme der Geschäftsführung, sondern fordert einen umfas-senden Ansatz in modernen Governance-Strukturen und eine enge Verflechtung mit den Prozessen.

Es bestehen enge Zusammenhänge zwischen Compliance und Prozessmanagement. Das Prozessmanagement unterstützt die Implementierung von Compliance Programmen im Unternehmen. "Viele Compliance-Anforderungen richten sich an Geschäftsprozesse

(36)

und sind von diesen zu erfüllen. Das Compliance Management hat die betroffenen Ge-schäftsprozesse zu adressieren, die prozessspezifischen Anforderungen zu definieren und die Wirksamkeit der Überwachung zu kontrollieren" (Schmelzer und Sesselmann, 2013, S. 39). Es müssen also Prozess im Unternehmen installiert werden, die interne Re-gelungen und gesetzliche Ansprüche erfüllen, also Compliance-konform sind.

3.4 GRC-Management

Die Bilanzskandale bei Enron und Worldcom, der VW-Abgas-Skandal und andere er-schreckende Unternehmensschieflagen ist es zu verdanken, dass Governance, Risiko-management und Compliance zu sehr aktuellen Themen geworden sind, die bis dahin wenig Beachtung fanden, mit denen sich aber viele Unternehmen danach beschäftigten mussten und weiterhin müssen. Der US-amerikanische Gesetzgeber hat ebenfalls zur Aktualität dieser Themen Beigetragen. Im Rahmen des „Sarbanes-Oxley Act of 2002“ ist dieses Themengebiet in das Interesse der breiten Öffentlichkeit gerückt.

Auch in Deutschland gibt es seit 2002 Regelungen von öffentlicher Seite, den deutschen Corporate Governance Kodex. "Der Deutsche Corporate Governance Kodex stellt we-sentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotier-ter Gesellschaften dar und enthält in Form von Empfehlungen und Anregungen inbörsennotier-ternatio- internatio-nal und natiointernatio-nal anerkannte Standards guter und verantwortungsvoller Unternehmensfüh-rung." (DCGK; 2015)

Diese Entwicklungen haben den öffentlichen Meinungsbildungsprozess dahin gehend beeinflusst, dass internationaler Konsens hinsichtlich des Erfordernisses einer „guten“ Corporate Governance besteht.

Compliance und Corporate Governance stehen in enger Verbindung zueinander (zB: comply or explain) und Compliance wiederum verlangt Risikomanagement, um daraus entsprechende Regelungen abzuleiten. Governance wiederum gibt Orientierung für die Entscheidungen und Risikomanagement liefert wichtige Grundlagen für die Risiko-Toleranz-Richtlinien der Corporate Governance (siehe Abbildung 10).

(37)

Abbildung 10: Das Zusammenspiel von Governance, Risiko, Compliance

Unter dem Akronym GRC werden in Praxis und Wissenschaft Ansätze diskutiert, wie man die Verflechtungen zwischen den GRC-Disziplinen (Governance, Risk and Compliance) mit den GRC-Komponenten (Strategie, Prozesse, Menschen, Technologie) zielorientiert koordiniert. Das Akronym "GRC" hat die Geschäftswelt in den letzten Jahren immer weiter durchdrungen. Es hat seinen Weg in die verschiedenen Software Produkte, Marketing Folien und Abteilungsnamen in globalen Unternehmen gefunden (Racz, Weippl und Se-ufert, 2010).

Die einzelnen GRC-Disziplinen, Governance, Risiko und Compliance, sind nicht neu. Das neue an dem GRC-Konzept ist der integrierte Ansatz, der wenn er holistisch in einer Or-ganisation angewendet wird, signifikant zur Wertschöpfung beitragen und zu einem Wett-bewerbsvorteil führen kann (PwC, 2005).

Vor allem viele IT-Firmen haben den Begriff GRC geprägt, da sie IT-Werkzeuge anbieten, die die GRC-Disziplinen integriert unterstützen sollen. Damit soll ein reibungsloses inei-nandergreifen der GRC-Disziplinen ohne Daten-Schnittstellen möglich werden. "Der Auf-bau von Insellösungen im Unternehmen (einerseits Risiko- und andererseits Compliance-Managementsysteme) führt hingegen zu Intransparenzen, Redundanzen und Inhomoge-nität von Daten" (Weuster, 2014, S.13).

Obwohl viel Geld in die Umsetzung der GRC-Disziplinen investiert wird und sehr viele Stellen in diesem Bereich geschaffen wurden, gab es lange eine breit gefächerte Auswahl verschiedener Definitionen für das GRC-Management. Viele Beratungshäuser und Soft-warefirmen publizieren Definitionen, die zur Ihren Produkten und Dienstleistungen pas-sen.

(38)

3.4.1 Definition

2010 wurde erstmals eine wissenschaftlich herbeigeleitete und validierte Definition veröf-fentlicht (Racz, Weippl und Seufert, 2010): "GRC ist ein integrierter, holistischer Ansatz für organisationsweite Governance, Risk und Compliance, der gewährleistet, dass die Orga-nisation sich ethisch und gemäß ihres Risikoappetits sowie interner und externer Vorga-ben verhält, ermöglicht durch die Abstimmung von Strategien, Prozessen, Menschen und Technologie, wodurch Effizienz und Effektivität gesteigert werden."

Die Risiken, die durch ein Risiko-Managementsystem identifiziert, bewertet und gesteuert werden, können aus der Nichteinhaltung von gesetzlichen oder internen Regelungen (Compliance) stammen, aus dem alltäglichen Geschäftsbetrieb oder aus IT-Risiken her-rühren. Daher ist es für das Risiko-Management notwendig alle Regelungen zu kennen und einzuhalten. Dies ist die Aufgabe des Compliance-Managements. Die Nichteinhaltung von Compliance führt also zu neuen Risiken und aufgedeckte Risiken führen wiederum zu neuen oder optimierten Regelungen.

Durch die Corporate Governance werden das Risikomanagement und das Compliance-Management gesteuert. Sie legt die Verantwortlichketen fest und die Unternehmensziele. Anhand derer und auf Grundlage der Erkenntnisse aus Risiko- und

Compliance-Management werden die richtigen Unternehmens-Entscheidungen getroffen.

Dieses Zusammenspiel erfordert eine gemeinsame und abgestimmte Strategie und ein gemeinsames Management führt zu einer gesteigerten Effizienz. Daher rührt die Betrach-tung des GRC-Managements. Das BeraBetrach-tungshaus KPMG beschreibt GRC als eine stra-tegische Disziplin: GRC ist ein kontinuierlicher Prozess, der in die Kultur einer Organisati-on eingebettet ist und der steuert wie das Management Risiken identifiziert und sich da-gegen schützt, wie es die Effektivität der internen Kontrollen überwacht und evaluiert und wie es dann auf die Ergebnisse reagiert und Prozesse auf Grund der gewonnenen Er-kenntnisse optimiert (Racz, Weippl und Seufert, 2010).

Die Regeln des Systems GRC werden durch die die Compliance-Anforderungen, das Ri-siko-Management und die Corporate Governance definiert. Unabhängig davon, in welcher Form diese Regeln dokumentiert sind (Regelungen, Zielvereinbarungen, etc.), sind sie doch alle normative Anleitungen, die integriert präsentiert und eingesetzt werden sollten (Racz, Weippl und Seufert, 2010).

Zusammenfassend kann man folgende Ziele des GRC-Managements identifizieren:

 Unternehmensstrategie festlegen, umsetzen und nachhalten

 Governance Strukturen und Entscheidungsprozesse definieren und einhalten

 Zielvorgaben definieren, weitergeben und nachhalten

 Risiken für die Zielerreichung identifizieren, bewerten, steuern und überwachen

 Umfeld mit transparenten Regelungen und Richtlinien schaffen, Regelungen defi-nieren, kommunizieren und nachhalten

(39)

3.4.2 Vorteile des integrierten GRC-Managments

Deloitte (2008) beschreibt die Vorteile eines integrierten GRC-Managements folgender-maßen: Verschiedene Funktionen sind auf die gleichen Informationen, Technologien und Prozesse angewiesen. Alle Risiko-Management Aktivitäten werden von den gleichen Re-geln gesteuert. Jeder erhält zeitnahen Zugang zu benötigten Informationen, um bessere Entscheidungen treffen zu können und das ganze System ist gestärkt von einer Kultur, die gute Unternehmensführung wertschätzt und die Mitarbeiter dafür belohnt das Richtige zu tun.

Marekfia und Nissen (2009, S. 9) beschreiben ebenfalls Vorteile (Nutzeneffekte) von GRC: "Nutzeneffekte für die internen und externen Stakeholder (GRC-bewusste Unter-nehmenskultur, höhere Unternehmensreputation, gesteigerter Markenwert), die strategi-sche Ebene (bspw. Flexibilitätssteigerung bei M&M-Aktivitäten, Markteintritt und neuen Produkten sowie Verbesserung der Informationsversorgung), Nutzeffekte für das GPM (bspw. Anregungen zur Geschäftsprozessoptimierung) sowie Nutzen im

GRC-Management selbst (bspw. durch synergiebedingte Kostensenkungen)."

3.4.3 GRC und Prozessmanagement

Die operative Umsetzung der Anforderungen der GRC-Disziplinen erfolgt in den Prozes-sen eines Unternehmens. Diese sind das zentrale Mittel zur Gestaltung von GRC.

Das Prozessmanagement wiederum hat zum Ziel die Prozesse jederzeit flexibel an neue fachliche Anforderungen anzupassen. Dabei nimmt das GRC-Management "eine Schnitt-stellenfunktion zwischen der strategischen Ebene und der Ableitung der Geschäftspro-zesse sowie deren IT-seitiger Implementierung ein" und "es ist mit strategischen Zielen abzustimmen sowie mit den weiteren Managementsystemen, welche GRC beeinflussen" (Marekfia und Nissen, 2009, S. 8), wie z.B. das Geschäftsprozessmanagement. Um das GRC-Management effektiv im Unternehmen zu etablieren, sollte es in diese bestehenden Managementsysteme integriert werden und deren Strukturen, Methoden und Werkzeuge nutzen.

Racz, Weippl und Seufert (2010) haben ein abstraktes Modell zur Grundlage weiterer Forschung zum Thema GRC entwickelt. Dieses hebt die Schlüsselelemente hervor, die bei der Untersuchung des GRC-Konzepts betrachtet werden sollten. Dabei sind auch die Prozesse eines Unternehmens ein wesentlicher Bestandteil (siehe Abbildung 11)

Governance, Risiko-Management und Compliance sind dabei natürlich die Kern-Themen. Jedes dieser Themen besteht, wie auch alle Vorgänge eines Unternehmens, aus vier grundlegenden Komponenten: Strategie, Prozesse, Technologie und Menschen. Der Risi-koappetit, die internen Vorgaben und die externen Vorgaben sind die Regeln dieses Sys-tems. Die Kern-Themen, die Komponenten und die Regeln werden nun integriert, holos-tisch und organisationsweit zusammengebracht. Dabei muss dieses System an den durch GRC gesteuerten und unterstützen Aktivitäten ausgerichtet sein.

(40)

Abbildung 11: Referenzrahmen für integriertes GRC (Racz, Weippl und Seufert, 2010)

Mit diesem Ansatz streben Organisationen danach ihre Ziele des GRC-Systems zu errei-chen: sowohl ethisch korrektes Verhalten und fundierte Risikoentscheidungen sowie op-timierte Effizienz und Effektivität aller beteiligten Elemente.

Die IT hat ebenfalls einen großen Anteil an der Umsetzung von GRC-Anforderungen. Dies wird durch BPM-Tools und -Systeme unterstützt. Diese stellen eine der Verbindungen von Prozessmanagement mit dem GRC-Management her. "Zusätzlich helfen Prozess- und IT-Standards, wie z.B: COBIT (Control Objectives for Information and Related Technology) und ITIL (Information Technology Infrastructure Library), die Compliance-Anforderungen zu erfüllen" (Schmelzer und Sesselmann, 2013, S.40).

(41)

Vorgehensmodell zur Integration von

GRC in das Geschäftsprozessmanagement 29

4 Vorgehensmodell zur Integration von

GRC in das Geschäftsprozessmanagement

"Prozessmanagement ist keine Disziplin der exakten Wissenschaften. Wenn Forschung und Entwicklung in diesem Kontext Erfolg haben sollen, müssen Forschungsergebnisse aufgrund von Beobachtungen, durch Experimente und auf Basis von Anwendungserfah-rungen empirisch weiterführend untersucht und fortentwickelt werden." (Bayer und Kühn, 2013)

So wurde auch das Vorgehensmodell in dieser Arbeit basierend auf Praxiserfahrungen erarbeitet. Dies sind Erfahrungen über die in der wissenschaftlichen Literatur berichtet werden und die Praxiserfahrungen der Autorin.

Für die Entwicklung eines integrierten Vorgehensmodells wird das Vorgehensmodell des projektorientierten Geschäftsprozessmanagements nach NOVACESS sowie ein Vorge-hensmodell zur Einführung des GRC-Managements nach Menzies (2009), ergänzt mit weiteren Elementen anderer Autoren, gewählt.

Man wird erkennen, dass es viele Berührungspunkte gibt bei Governance, Risikoma-nagement oder Compliance auf der einen Seite und den Tätigkeitsfelder des Prozessma-nagements wie Prozessoptimierung, Prozessmodellierung oder kontinuierlicher Prozess-verbesserung (KVP) auf der anderen Seite. Jedes GPM-System und jedes GRC-System sind maßgeschneiderte Management-Systeme. So viele verschiedene Unternehmensty-pen es gibt, so unterschiedlich wird ihre Risikolage und ihre Geschäftsprozesse sein, so dass unterschiedliche Maßnahmen gewählt und angepasst angewendet werden müssen. Es gibt einige kongruente Ziele des Prozess- und GRC-Management, die auf die gleiche Wertschöpfung im Unternehmen abzielen, dargestellt in Tabelle 2.

Ziele GRC-Management und Prozessmanagement

Effizienzsteigerung

Kundenzufriedenheit

(42)

30 Vorgehensmodell zur Integration von GRC in das Geschäftsprozessmanagement Wettbewerbsvorteile Qualitätssteigerung Effektivität Transparenz Orientierung an Unternehmensstrategie

Tabelle 2: Gemeinsame Ziele von GRC und GPM

Zunächst soll jedoch das NOVACESS-Vorgehensmodell vorgestellt werden.

4.1 Vorgehensmodell GPM nach NOVACESS

Das in dieser Arbeit vorgestellte Einführungsmodell für GRC-GPM basiert für den Teil des Geschäftsprozessmanagements auf dem NOVACESS-Modell. Dies ist ein "Best-Practice-Ansatz für Projektorientiertes Prozessmanagement" (NOVACESS, 2015). Dieses Modell wurde auf Basis des stetigen Wandels in der Umwelt eines Unternehmens entwickelt und der daraus resultierenden Anforderung, dass auch die Prozesse in einem kontinuierlichen Verbesserungsprozess permanent daran angepasst werden müssen.

Das Modell nach NOVACESS ist ein phasenorientiertes Vorgehensmodell, beschrieben mit den dazugehörigen Methoden, Tools und Templates. Damit soll ein stetiges im Unter-nehmen fest verankertes Prozessmanagement implementiert werden (siehe Abbildung 12).

(43)

Vorgehensmodell zur Integration von

GRC in das Geschäftsprozessmanagement 31

Abbildung 12: Vorgehensmodell Prozessprojekte nach Novacess (NOVACESS, 2015)

Kundenorientierung, Einbeziehung aller Stakeholder und Berücksichtigung der Unterneh-mensstrategie sind in dem Vorgehensmodell von NOVACESS von besonderer Bedeu-tung. Dabei werden folgende Phasen mit den dazugehörigen Tätigkeiten (Dräger und Rößler, 2012, S. 29 ff.) und Meilensteinen (Dräger und Rößler, 2012, S. 91) durchlaufen: